NetSupport RAT-Infektionen auf dem Vormarsch : Angriff auf Behörden und Unternehmen
Cyberkriminelle greifen die Bildungs-, Regierungs- und Unternehmensdienstleistungssektoren mit einem sogenannten Remote-Access-Trojaner namens NetSupport RAT an. Laut einem Bericht von VMware Carbon Black erfolgt die Verbreitung über betrügerische Updates, ungewollte Downloads, die Nutzung von Malware-Loadern wie GHOSTPULSE sowie verschiedene Arten von Phishing-Kampagnen.
Nicht weniger als 15 neue Infektionen mit Bezug zu NetSupport RAT sollen in den letzten Wochen entdeckt worden sein. Ursprünglich war NetSupport Manager ein legitimes Fernadministrations-Tool für technische Unterstützung und Support. Böswillige Akteure haben das Tool jedoch massiv missbraucht und es als Ausgangspunkt für weitere Angriffe genutzt.
NetSupport RAT wird in der Regel über betrügerische Websites und gefälschte Browser-Updates auf den Computer des Opfers heruntergeladen. Im August 2022 hat Sucuri über eine Kampagne berichtet, bei der gehackte WordPress-Webseiten genutzt wurden, um gefälschte Cloudflare DDoS-Schutzseiten anzuzeigen. Diese Seiten führten dann zur Verbreitung von NetSupport RAT.
Die Verwendung gefälschter Webbrowser-Updates ist eine übliche Methode, die oft mit der Verbreitung einer JavaScript-basierten Downloader-Malware namens SocGholish (auch bekannt als FakeUpdates) in Verbindung gebracht wird. Diese Methode wurde auch bei der Verbreitung einer Loader-Malware namens BLISTER beobachtet.
Die JavaScript-Datei ruft dann PowerShell auf, um eine Verbindung zu einem Remote-Server herzustellen und eine ZIP-Archivdatei abzurufen, die NetSupport RAT enthält. Nach der Installation leitet es Informationen an einen Command-and-Control-Server (C2) weiter.
Sobald NetSupport auf dem Gerät eines Opfers installiert ist, kann es das Verhalten überwachen, Dateien versenden, Computer-Einstellungen ändern und auf andere Geräte im Netzwerk zugreifen.